NAT, 445 e tentativi d'intrusione

[Delmak_O]

navigo in una rete NAT che identifica tutti i suoi utenti con un unico indirizzo IP pubblico, ogni volta che accedo ad Internet ho un indirizzo privato del tipo 10.xxx.xxx.xxx che posso vedere con ipconfig /all (l'indirizzo pubblico su Internet l'ho visto per la prima volta collegandomi a privacy.net, neppure sapevo di averne uno...così come non sapevo di avere mozilla come browser!)...ultimamente zone alarm mi segnala tentativi d'ingresso alla porta 445 ma, ed è per questo che posto, da indirizzi privati come 10.xxx.xxx.xxx...come devo leggere questi 'accessi'? possibile che i tentativi d'ingresso avvengano all'interno della rete? cerco di spiegarmi: se io mi collego ad Internet col mio provider, mi affaccio su Internet, ok, ma perché dovrei essere in 'comunicazione' con altri pc della rete di cui faccio parte? non siamo tutti in rapporto verticale col nostro provider? come possono sussistere relazioni orizzontali? capirei un tentativo dall'esterno (cosa che con NAT pare molto difficile, io all'inizio ho navigato senza patch per almeno due-tre mesi e non ho mai beccato il Blaster), ma dall'interno? devo immaginarmi un 'portscan' messo in azione per forza di cose da un altro utente Vodafone sparso per la mia zona? e se io facessi un port-scan, lo potrei fare sugli altri utenti Vodafone connessi alla rete, su indirizzi del tipo 10.xxx.xxx.xxx?

[tia86]

forse perchè qualche client dentro la tua LAN si è beccato Sasser o un altro worm
O forse perchè un'altro client della LAN sta cercando di accedere alle tue risorse condivise

[Delmak_O]

una frase mi ha sempre colpito: se tu con Internet puoi collegarti a milioni di computer, milioni di computer possono collegarsi al tuo (singolo - e misero) computer...ma avevo sempre pensato che questo potesse accadere sulla rete pubblica...non pensavo potesse accadere all'interno di una rete privata, ed in fondo non riesco ancora a capire come questo possa accadere...poniamo un utente Vodafone, connettendosi non va diretto al server di Vodafone per poi uscire su Internet? come fa a tornare indietro, a rimanere, per così dire, dentro la rete Vodafone? non so se riesco a spiegarmi...

[tia86]

Originariamente inviato da Delmak_O
una frase mi ha sempre colpito: se tu con Internet puoi collegarti a milioni di computer, milioni di computer possono collegarsi al tuo (singolo - e misero) computer...ma avevo sempre pensato che questo potesse accadere sulla rete pubblica...non pensavo potesse accadere all'interno di una rete privata, ed in fondo non riesco ancora a capire come questo possa accadere...poniamo un utente Vodafone, connettendosi non va diretto al server di Vodafone per poi uscire su Internet? come fa a tornare indietro, a rimanere, per così dire, dentro la rete Vodafone? non so se riesco a spiegarmi...

Non hai capito, ti sto dicendo che se ti è successo quello che hai descritto, la tua rete INTERNA (10.x.x.x) è infetta, uno dei client si è beccato un worm.
l'ip che vedi non appartiene ad un pc collegato alla tua LAN?

[Delmak_O]

sì...ma pensavo che se un utente della mia lan si becca un worm, non può che rispedirlo fuori, su Internet, per farmi capire io ho un'idea della mia connessione ad Internet di 1:1, ogni pc è collegato ad uno (o ad uno dei) server di Vodafone, e attraverso di esso va fuori sulla rete pubblica...per cui nella mia idea la mia macchina non ha alcun rapporto con le altre macchine dentro la rete Vodafone anche se connesse allo stesso server...ma dunque mi sbagliavo, se ho capito bene nella misura in cui sono connesso, sono in un certo rapporto anche con gli altri client in quanto connessi allo stesso server?

[tia86]

Originariamente inviato da Delmak_O
sì...ma pensavo che se un utente della mia lan si becca un worm, non può che rispedirlo fuori, su Internet, per farmi capire io ho un'idea della mia connessione ad Internet di 1:1, ogni pc è collegato ad uno (o ad uno dei) server di Vodafone, e attraverso di esso va fuori sulla rete pubblica...per cui nella mia idea la mia macchina non ha alcun rapporto con le altre macchine dentro la rete Vodafone anche se connesse allo stesso server...ma dunque mi sbagliavo, se ho capito bene nella misura in cui sono connesso, sono in un certo rapporto anche con gli altri client in quanto connessi allo stesso server?

No.
Si beccano il worm (sempre che sia un worm, mi sa che qualcuno stava soltando tentando di accedere alle tue risorse) tutti i client della subnet.

posta un IPCONFIG /ALL

[Delmak_O]

ho una subnet mask che è 255.255.255.255, questa non l'ho mai capita...per il resto ho un indirizzo IP privato i cui due ultimi byte variano, mentre i primi due rimangono inalterati (10 iniziale)...ho come Gateway predefinito lo stesso indirizzo IP del mio computer, la mia rete è una WAN (PPP/SLIP)

[tia86]

Originariamente inviato da Delmak_O
ho una subnet mask che è 255.255.255.255, questa non l'ho mai capita...per il resto ho un indirizzo IP privato i cui due ultimi byte variano, mentre i primi due rimangono inalterati (10 iniziale)...ho come Gateway predefinito lo stesso indirizzo IP del mio computer, la mia rete è una WAN (PPP/SLIP)

Capito, pensavo avessi un router e dietro la tua LAN.

Strano che la vodafone ti natti, hai per caso una connessione gprs?
Comunque non cambia nulla, tu sei connesso direttamente al NAS (il server di vodafone) come gli altri, ma i pacchetti vengono routati verso di te dal NAS.

prova a fare un TRACERT di un IP che ti ha "attaccato", vedrai che i pacchetti arriveranno al NAS per poi essere routati verso il pc del pc in questione, senza "andare in internet"

[Delmak_O]

anche stamattina è successo, il tentativo d'accesso alla porta 445 del mio sistema arrivava da 10.200.84.36, ho fatto subito un tracert e mi ha dato tre righe di esito:
10.136.50.3
10.156.50.18
10.200.84.36
ho fatto anche un ping rivolto a quell'indirizzo, e mi ha dato 2 pacchetti ricevuti e due persi (50%)
sì ho una connessione GPRS...se ho capito, NAT può difenderti dall'esterno, ti ricopre come un mantello e non fa vedere chi sei, ma all'interno della rete sei trasparente...